Digicert, bir müşterinin bir alana sahip olması veya işletmesi durumunda ve etkilenen müşterileri 24 saat içinde yeniden düzenlemesini gerektirirse, şirketin nasıl doğruladığı konusundaki bir hata nedeniyle ssl/TLS sertifikaları olacağını uyarıyor.
Bu süreçte kaç sertifikanın iptal edileceği belirsizdir, ancak şirket, Ağustos 2019 ile Haziran 2024 arasında yürüttükleri geçerli alan doğrulamalarının yaklaşık% 0,4'ünü etkilediğini söylüyor.
DigiCert, etki alanı onaylı (DV), kuruluş onaylı (OV) ve genişletilmiş doğrulama (EV) sertifikaları dahil olmak üzere SSL/TLS sertifikaları sağlayan önde gelen sertifika yetkililerinden (CAS) biridir.
Bu sertifikalar, bir kullanıcı ile bir web sitesi veya uygulama arasındaki iletişimi şifrelemek için kullanılır, kötü amaçlı ağ izlemeye ve ortadaki adam saldırılarına karşı güvenliği artırır.
Bir alan adı için sertifika verilirken, bir sertifika yetkilisi, müşterinin alan adına sahip olduğunu onaylamak için önce Etki Alanı Kontrol Doğrulaması (DCV) gerçekleştirmelidir.
Etki alanı sahipliğini doğrulamak için kullanılan yöntemlerden biri, sertifikadaki DNS CNAME kaydına rastgele bir değere sahip bir dize eklemek ve ardından rastgele değerlerin eşleşmesini sağlamak için etki alanının DNS araması yapmaktır.
CABF taban çizgisi gereksinimlerine göre, rastgele bir değer, bir alt çizgiyle alan adı ile ayrılmalıdır. Aksi takdirde, bir alan ve doğrulama için kullanılan bir alt alan arasında çarpışma riski vardır.
"Son zamanlarda, bazı CNAME tabanlı doğrulama vakalarında kullanılan rastgele değere sahip alt çizgiyi eklemediğimizi öğrendik." Diye açıklıyor Digicert.
"Bu, yürürlükte olan uygulanabilir etki alanı doğrulamalarının yaklaşık% 0,4'ünü etkiledi. Sıkı CABF kuralları uyarınca, etki alanı doğrulamalarında bir sorunu olan sertifikalar, istisnasız 24 saat içinde iptal edilmelidir."
Digicert, temel nedenin Ağustos 2019'da bazı doğrulama yollarında otomatik alt çizginin çıkarılmasına yol açan bir sistem güncellemesi olduğunu söylüyor.
Bu gözetim yakın zamana kadar yakalanmadı, bu nedenle Ağustos 2019 ve Haziran 2024 arasında, alt çizgi önek olmadan bazı doğrulamalar gerçekleştirildi.
11 Haziran 2024'te, bir kullanıcı deneyim geliştirme projesi, rastgele değer üretim sürecini pekiştirerek hala keşfedilmemiş sorunu düzeltti.
Sonunda, 29 Temmuz'da Digicert, rastgele değerlerin üretimi hakkında ayrı bir raporu araştırırken, sertifikaların küçük bir yüzdesinde alt çizginin eksikliğini keşfetti.
Digicert, "Alt çizgiyi dahil edememek, gerçek bir alan ile doğrulama için kullanılan alt alan arasında bir çarpışma potansiyeli olduğu için bir güvenlik riski olarak kabul edilir."
"Bir çarpışma şansı son derece düşük olsa da, rastgele değerin en az 150 bit entropi olduğundan, hala bir şans var."
Digicert, benzer olayların yeniden ortaya çıkmasını önlemek için aşağıdaki eylemleri gerçekleştirmiştir:
Müşteriler artık etkilenen sertifikaları tanımlamak için DigiCert SertCentral hesaplarına giriş yapmalıdır.
Daha sonra, alan adı için yeni bir Sertifika İmzalama Talebi (CSR) oluşturmaları ve DiGICERT'in başka bir etki alanı kontrol doğrulaması yapmasını istediği gerekir.
Sertifika isteği DCV'yi geçtikten sonra, müşteriler sertifikaları sertifikalar portalı üzerinden yeniden yayınlayabilir ve sunucularına yükleyebilir.
Digicert'in 24 saat içinde etkilenen sertifikaları iptal edeceğine dikkat edilmelidir. İşlem o zamandan önce tamamlanmazsa, web sitesi veya uygulama için bağlantı kaybına yol açacaktır.
BleepingComputer, kaç sertifikanın etkilendiğini sormak için Digicert ile temasa geçti, ancak henüz yanıt almadı.
Güncelleme 7/31 - İlgili Bugzilla raporuyla ilgili bir güncellemeye göre, olay 83.267 sertifikayı ve 6.807 müşteriyi etkiliyor.
Kritik altyapı için sertifika iptallerini geciktirmek için digicert
Kaynak: Bleeping Computer